การควบคุมการเข้าถึงใน Google Cloud Search จะอิงตามบัญชี Google ของผู้ใช้ เมื่อจัดทำดัชนีเนื้อหา ACL ทั้งหมดในรายการต้องจับคู่กับรหัสผู้ใช้หรือรหัสกลุ่ม (อีเมล) ของ Google ที่ถูกต้อง
ในหลายกรณี พื้นที่เก็บข้อมูลไม่มีความรู้โดยตรงเกี่ยวกับบัญชี Google แต่ผู้ใช้อาจแสดงด้วยบัญชีในเครื่องหรือใช้การลงชื่อเข้าใช้แบบรวมศูนย์กับผู้ให้บริการข้อมูลประจำตัวและรหัสอื่นนอกเหนือจากอีเมลของผู้ใช้เพื่อระบุแต่ละบัญชี รหัสนี้เรียกว่ารหัสภายนอก
แหล่งที่มาของข้อมูลประจำตัวที่สร้างโดยใช้คอนโซลผู้ดูแลระบบจะช่วยเชื่อมโยงช่องว่างนี้ระหว่างระบบข้อมูลประจำตัวโดยทำดังนี้
- การกําหนดช่องผู้ใช้ที่กําหนดเองเพื่อจัดเก็บรหัสภายนอก ฟิลด์นี้ใช้เพื่อแก้ไขรหัสภายนอกเป็นบัญชี Google
- กำหนดเนมสเปซสำหรับกลุ่มความปลอดภัยที่จัดการโดยที่เก็บหรือผู้ให้บริการข้อมูลประจำตัว
ใช้แหล่งที่มาของข้อมูลประจำตัวในกรณีต่อไปนี้
- ที่เก็บข้อมูลไม่ทราบอีเมลหลักของผู้ใช้ใน Google Workspace หรือ Google Cloud Directory
- ที่เก็บข้อมูลจะกำหนดกลุ่มสำหรับการควบคุมการเข้าถึงที่ไม่สอดคล้องกับกลุ่มที่อิงตามอีเมลใน Google Workspace
แหล่งที่มาของข้อมูลประจำตัวช่วยเพิ่มประสิทธิภาพการจัดทําดัชนีโดยการแยกการจัดทําดัชนีออกจากการจับคู่ข้อมูลประจําตัว การแยกนี้ช่วยให้คุณเลื่อนการค้นหาผู้ใช้ได้เมื่อสร้าง ACL และจัดทำดัชนีรายการ
ตัวอย่างการใช้งาน
รูปที่ 1 แสดงตัวอย่างการใช้งานที่องค์กรใช้ทั้งที่เก็บข้อมูลในระบบและในระบบคลาวด์ แต่ละที่เก็บข้อมูลใช้รหัสภายนอกประเภทอื่นในการอ้างอิงผู้ใช้
ที่เก็บข้อมูล 1 จะระบุผู้ใช้โดยใช้อีเมลที่ยืนยันโดยใช้ SAML เนื่องจากที่เก็บข้อมูล 1 ทราบอีเมลหลักของผู้ใช้ใน Google Workspace หรือ Cloud Directory จึงไม่จำเป็นต้องมีแหล่งข้อมูลประจำตัว
ที่เก็บข้อมูล 2 ผสานรวมกับไดเรกทอรีในเครื่องโดยตรงและระบุผู้ใช้ตามแอตทริบิวต์ sAMAccountName
เนื่องจากที่เก็บข้อมูล 2 ใช้แอตทริบิวต์ sAMAccountName
เป็นรหัสภายนอก คุณจึงต้องใช้แหล่งข้อมูลระบุตัวตน
สร้างแหล่งที่มาของข้อมูลประจำตัว
หากต้องการแหล่งที่มาของข้อมูลประจำตัว โปรดดูแมปข้อมูลประจำตัวของผู้ใช้ใน Cloud Search
คุณต้องสร้างแหล่งที่มาของข้อมูลประจำตัวก่อนสร้างตัวเชื่อมต่อเนื้อหา เนื่องจากคุณจะต้องมีรหัสแหล่งที่มาของข้อมูลประจำตัวเพื่อสร้าง ACL และจัดทำดัชนีข้อมูล ดังที่ได้กล่าวไปก่อนหน้านี้ การสร้างแหล่งที่มาของข้อมูลประจำตัวจะสร้างพร็อพเพอร์ตี้ผู้ใช้ที่กําหนดเองในไดเรกทอรีของ Cloud ด้วย ใช้พร็อพเพอร์ตี้นี้เพื่อบันทึกรหัสภายนอกสำหรับผู้ใช้แต่ละรายในที่เก็บข้อมูล ตั้งชื่อพร็อพเพอร์ตี้โดยใช้รูปแบบ IDENTITY_SOURCE_ID_identity
ตารางต่อไปนี้แสดงแหล่งข้อมูลระบุตัวตน 2 แหล่ง ได้แก่ แหล่งที่เก็บชื่อบัญชี SAM (sAMAccountName) เป็นรหัสภายนอก และแหล่งที่เก็บรหัสผู้ใช้ (uid) เป็นรหัสภายนอก
แหล่งที่มาของข้อมูลประจำตัว | พร็อพเพอร์ตี้ผู้ใช้ | รหัสภายนอก |
---|---|---|
id1 | id1_identity | sAMAccountName |
id2 | id2_identity | uid |
สร้างแหล่งที่มาของข้อมูลประจำตัวสำหรับรหัสภายนอกที่เป็นไปได้แต่ละรายการซึ่งใช้ในการอ้างอิงผู้ใช้ในองค์กร
ตารางต่อไปนี้แสดงวิธีที่ผู้ใช้ที่มีบัญชี Google และรหัสภายนอก 2 รายการ (id1_identity และ id2_identity) และค่าของผู้ใช้ปรากฏในไดเรกทอรีระบบคลาวด์
ผู้ใช้ | อีเมล | id1_identity | id2_identity |
---|---|---|---|
Ann | [email protected] | example\ann | 1001 |
คุณสามารถอ้างอิงผู้ใช้รายเดียวกันได้โดยใช้รหัส 3 รายการที่แตกต่างกัน (อีเมล Google, sAMAccountName และ uid) เมื่อสร้าง ACL สำหรับการจัดทำดัชนี
เขียน ACL ของผู้ใช้
ใช้เมธอด getUserPrincpal() หรือเมธอด getGroupPrincipal() เพื่อสร้างผู้ใช้หลักโดยใช้รหัสภายนอกที่ระบุ
ตัวอย่างต่อไปนี้แสดงวิธีเรียกข้อมูลสิทธิ์ในไฟล์ สิทธิ์เหล่านี้รวมถึงชื่อของผู้ใช้แต่ละรายที่มีสิทธิ์เข้าถึงไฟล์
ข้อมูลโค้ดต่อไปนี้แสดงวิธีสร้างผู้ใช้หลักที่เป็นเจ้าของโดยใช้รหัสภายนอก (externalUserName
) ที่เก็บไว้ในแอตทริบิวต์
สุดท้าย ข้อมูลโค้ดต่อไปนี้แสดงวิธีสร้างผู้ใช้หลักที่เป็นผู้อ่านไฟล์
เมื่อคุณมีรายชื่อผู้อ่านและเจ้าของแล้ว คุณสามารถสร้าง ACL ได้โดยทำดังนี้
REST API พื้นฐานใช้รูปแบบ
identitysources/IDENTITY_SOURCE_ID/users/EXTERNAL_ID
สำหรับรหัสเมื่อสร้างผู้ใช้หลัก กลับไปที่ตารางก่อนหน้า หากคุณสร้าง ACL ด้วย id1_identity
(SAMAccountName) ของ Ann รหัสจะแสดงผลเป็น
identitysources/id1_identity/users/example/ann
รหัสทั้งหมดนี้เรียกว่ารหัสกลางของผู้ใช้เนื่องจากเป็นบริดจ์ระหว่างรหัสภายนอกกับรหัส Google ที่เก็บไว้ในไดเรกทอรีระบบคลาวด์
ดูข้อมูลเพิ่มเติมเกี่ยวกับการจําลอง ACL ที่ใช้สําหรับที่เก็บข้อมูลได้ที่ACL
กลุ่มแผนที่
แหล่งที่มาของข้อมูลระบุตัวตนยังทำหน้าที่เป็นเนมสเปซสําหรับกลุ่มที่ใช้ใน ACL ด้วย คุณสามารถใช้ฟีเจอร์เนมสเปซนี้เพื่อสร้างและจับคู่กลุ่มที่ใช้เพื่อวัตถุประสงค์ด้านความปลอดภัยเท่านั้นหรืออยู่ในที่เก็บข้อมูลได้
ใช้ Cloud Identity Groups API เพื่อสร้างกลุ่มและจัดการการเป็นสมาชิก หากต้องการเชื่อมโยงกลุ่มกับแหล่งข้อมูลประจำตัว ให้ใช้ชื่อทรัพยากรแหล่งข้อมูลประจำตัวเป็นเนมสเปซของกลุ่ม
ตัวอย่างโค้ดต่อไปนี้แสดงวิธีสร้างกลุ่มโดยใช้ Cloud Identity Groups API
สร้าง ACL ของกลุ่ม
หากต้องการสร้าง ACL ของกลุ่ม ให้ใช้เมธอด getGroupPrincipal() เพื่อสร้างผู้ใช้หลักของกลุ่มโดยใช้รหัสภายนอกที่ระบุ จากนั้นสร้าง ACL โดยใช้คลาส Acl.Builder ดังนี้
เครื่องมือเชื่อมต่อข้อมูลประจำตัว
แม้ว่าคุณจะใช้รหัสภายนอกที่ไม่ใช่ของ Google เพื่อสร้าง ACL และจัดทำดัชนีรายการได้ แต่ผู้ใช้จะไม่เห็นรายการในการค้นหาจนกว่ารหัสภายนอกจะเปลี่ยนเป็นรหัส Google ในไดเรกทอรีระบบคลาวด์ มี 3 วิธีในการทำให้ไดเรกทอรีในไดรฟ์บนระบบคลาวด์ทราบทั้งรหัส Google และรหัสภายนอกของผู้ใช้
- อัปเดตโปรไฟล์ผู้ใช้แต่ละรายการด้วยตนเองผ่านคอนโซลผู้ดูแลระบบ เราขอแนะนำให้ใช้กระบวนการนี้สำหรับการทดสอบและการสร้างต้นแบบโดยใช้โปรไฟล์ผู้ใช้เพียงไม่กี่รายการเท่านั้น
- แมปรหัสภายนอกกับรหัส Google โดยใช้ Directory API เราขอแนะนำให้ใช้กระบวนการนี้สำหรับผู้ที่ใช้ Identity Connector SDK ไม่ได้
- สร้างเครื่องมือเชื่อมต่อข้อมูลประจำตัวโดยใช้ Identity Connector SDK SDK นี้ช่วยให้การใช้ Directory API เพื่อแมปรหัสทำได้ง่ายขึ้น
โปรแกรมเชื่อมต่อข้อมูลประจำตัวคือโปรแกรมที่ใช้แมปรหัสภายนอกจากข้อมูลประจำตัวขององค์กร (ผู้ใช้และกลุ่ม) กับข้อมูลประจำตัวของ Google ภายในที่ Google Cloud Search ใช้ หากต้องสร้างแหล่งที่มาของข้อมูลประจำตัว คุณต้องสร้างเครื่องมือเชื่อมต่อข้อมูลประจำตัว
Google Cloud Directory Sync (GCDS) เป็นตัวอย่างของเครื่องมือเชื่อมต่อข้อมูลประจำตัว ตัวเชื่อมต่อข้อมูลระบุตัวตนนี้จะแมปข้อมูลผู้ใช้และกลุ่มจาก Active Directory ของ Microsoft กับไดเรกทอรีระบบคลาวด์ พร้อมกับแอตทริบิวต์ผู้ใช้ที่อาจแสดงข้อมูลระบุตัวตนของผู้ใช้ในระบบอื่นๆ
ซิงค์ข้อมูลประจำตัวโดยใช้ REST API
ใช้เมธอด update
เพื่อซิงค์ข้อมูลประจำตัวโดยใช้ REST API
การแมปข้อมูลประจำตัวใหม่
หลังจากแมปข้อมูลระบุตัวตนของรายการกับข้อมูลระบุตัวตนอื่นแล้ว คุณต้องจัดทำดัชนีรายการใหม่เพื่อให้ข้อมูลระบุตัวตนใหม่มีผล ตัวอย่างเช่น
- หากคุณพยายามนําการแมปออกจากผู้ใช้หรือแมปใหม่กับผู้ใช้รายอื่น ระบบจะยังคงเก็บการแมปเดิมไว้จนกว่าคุณจะจัดทําดัชนีใหม่
- หากคุณลบกลุ่มที่แมปซึ่งอยู่ใน ACL ของรายการ แล้วสร้างกลุ่มใหม่ที่มี
groupKey
เดียวกัน กลุ่มใหม่จะไม่ให้สิทธิ์เข้าถึงรายการจนกว่าจะมีการจัดทำดัชนีรายการอีกครั้ง